Datenaufbewahrung und -freigabe in Microsoft Defender for IoT

Microsoft Defender for IoT-Sensoren erlernen eine Baseline Ihres Netzwerkdatenverkehrs während des ersten Lernzeitraums nach der Bereitstellung. Diese gelernte Basislinie wird auf Ihren Sensoren auf unbestimmte Zeit gespeichert.

Defender for IoT speichert auch andere Daten im Azure-Portal, in OT-Netzwerksensoren und in lokale Verwaltungskonsolen.

Jeder Speicherort bietet eine bestimmte Speicherkapazität und Aufbewahrungszeiten. In diesem Artikel wird beschrieben, in welchem Umfang und wie lange die einzelnen Datentypen an jedem Speicherort gespeichert werden, bevor sie entweder gelöscht oder überschrieben werden.

Gerätedatenaufbewahrungszeiträume

In der folgenden Tabelle ist aufgeführt, wie lange Gerätedaten an jedem Defender for IoT-Speicherort gespeichert werden.

Speichertyp Details
Azure portal 90 Tage ab dem Wert des Datums letzte Aktivität.

Weitere Informationen finden Sie unter Verwalten Ihrer IoT-Geräte mit dem Gerätebestand für Organisationen.
OT-Netzwerksensor 90 Tage ab dem Wert des Datums letzte Aktivität.

Weitere Informationen finden Sie unter Verwalten Ihres OT-Gerätebestands über eine Sensorkonsole.
Lokale Verwaltungskonsole 90 Tage ab dem Wert des Datums letzte Aktivität.

Weitere Informationen finden Sie unter Verwalten des OT-Gerätebestands über eine lokale Verwaltungskonsole.

Warnung zur Datenaufbewahrung

In der folgenden Tabelle ist aufgeführt, wie lange Warnungsdaten am jeweiligen Defender for IoT-Speicherort gespeichert werden. Warnungsdaten werden wie aufgeführt gespeichert, unabhängig vom Status der Warnung und ob sie erkannt oder stummgeschaltet wurde.

Speichertyp Details
Azure portal 90 Tage ab dem Wert des Datums Erste Erkennung.

Weitere Informationen finden Sie unter Anzeigen und Verwalten von Warnungen über das Azure-Portal.
OT-Netzwerksensor 90 Tage ab dem Wert des Datums Erste Erkennung.

Weitere Informationen finden Sie unter Filtern und Verwalten von Warnungen.
Lokale Verwaltungskonsole 90 Tage ab dem Wert des Datums Erste Erkennung.

Weitere Informationen finden Sie unter Anzeigen von Warnungen in der lokalen Verwaltungskonsole.

OT-Warnung zur PCAP-Datenaufbewahrung

In der folgenden Tabelle ist aufgeführt, wie lange PCAP-Daten am jeweiligen Defender for IoT-Speicherort gespeichert werden.

Speichertyp Details
Azure portal PCAP-Dateien stehen im Azure-Portal zum Download zur Verfügung, solange sie vom OT-Netzwerksensor gespeichert werden.

Nach dem Herunterladen werden die Dateien 48 Stunden lang im Azure-Portal zwischengespeichert.

Weitere Informationen finden Sie unter Zugreifen auf PCAP-Warnungsdaten.
OT-Netzwerksensor Abhängig von der Speicherkapazität des Sensors, die für das Speichern von PCAP-Dateien zugeordnet wurde, was durch sein Hardwareprofil bestimmt wird:

- C5600: 130 GB
- E1800: 130 GB
- E1000 : 78 GB
- E500: 78 GB
- L500: 7 GB
- L100: 2,5 GB

Wenn ein Sensor seine maximale Speicherkapazität überschreitet, wird die älteste PCAP-Datei gelöscht, um die neueste speichern zu können.

Weitere Informationen finden Sie unter Zugreifen auf PCAP-Warnungsdaten und Vorkonfigurierte physische Appliances für die OT-Überwachung.
Lokale Verwaltungskonsole PCAP-Dateien werden nicht in der lokalen Verwaltungskonsole gespeichert und können über sie nur mithilfe eines direkten Links zum OT-Sensor aufgerufen werden.

Die Nutzung des verfügbaren PCAP-Speicherplatzes hängt von Faktoren wie der Anzahl der Warnungen, dem Warnungstyp und der Netzwerkbandbreite ab. Sie alle wirken sich auf die Größe der PCAP-Datei aus.

Tipp

Um nicht von der Speicherkapazität des Sensors abhängig zu sein, verwenden Sie zum Sichern Ihrer PCAP-Daten einen externen Speicher.

Aufbewahrung von Sicherheitsempfehlungen

Defender for IoT-Sicherheitsempfehlungen werden ab dem Zeitpunkt der ersten Erkennung und der damit verbundenen Empfehlung 90 Tage lang nur im Azure-Portal gespeichert.

Weitere Informationen finden Sie unter Verbessern des Sicherheitsstatus mit Sicherheitsempfehlungen.

OT-Ereigniszeitachsenaufbewahrung

OT-Ereigniszeitachsendaten werden nur auf OT-Netzwerksensoren gespeichert. Die Speicherkapazität unterscheidet sich dabei je nach Hardwareprofil des Sensors.

Die Aufbewahrung von Ereigniszeitachsendaten ist nicht zeitlich begrenzt. Bei einer angenommenen Häufigkeit von 500 Ereignissen pro Tag können alle Hardwareprofile die Ereignisse jedoch mindestens 90 Tagelang aufbewahren.

Wenn ein Sensor seine maximale Speichergröße überschreitet, wird die älteste Ereigniszeitachsendatendatei gelöscht, um die neueste speichern zu können.

In der folgenden Tabelle ist die maximale Anzahl von Ereignissen aufgeführt, die für jedes Hardwareprofil gespeichert werden können:

Hardwareprofil Anzahl der Ereignisse
C5600 10 Mio. Ereignisse
E1800 10 Mio. Ereignisse
E1000 6 Mio. Ereignisse
E500 6 Mio. Ereignisse
L500 3 Mio. Ereignisse
L100 500.000 Ereignisse

Weitere Informationen finden Sie unter Sensoraktivitäten nachverfolgen und Vorkonfigurierte physische Appliances für die OT-Überwachung.

Aufbewahrung der OT-Protokolldatei

Dienst- und Verarbeitungsprotokolldateien werden ab dem Erstellungsdatum 30 Tage lang im Azure-Portal gespeichert.

Andere OT-Überwachungsprotokolldateien werden nur auf dem OT-Netzwerksensor und in der lokalen Verwaltungskonsole gespeichert.

Weitere Informationen finden Sie unter

Datenfreigabe

Defender für IoT teilt Daten, einschließlich Kundendaten, unter den folgenden Microsoft-Produkten, die auch vom Kunden lizenziert werden:

  • Microsoft Security Exposure Management

Kapazität der lokalen Sicherungsdatei

Sowohl der OT-Netzwerksensor als auch die lokale Verwaltungskonsole verfügen über automatisierte Sicherungen, die täglich ausgeführt werden.

Sowohl auf dem OT-Sensor als auch in der lokalen Verwaltungskonsole werden ältere Sicherungsdateien überschrieben, wenn die konfigurierte Speicherkapazität ihr Maximum erreicht hat.

Weitere Informationen finden Sie unter

Sicherungen auf dem OT-Netzwerksensor

Die Aufbewahrung von Sicherungsdateien hängt von der Architektur des Sensors ab, da jedes Hardwareprofil über einen festgelegten Festplattenspeicher für den Sicherungsverlauf verfügt:

Hardwareprofil Zugeordneter Festplattenspeicher
L100 Sicherungen werden nicht unterstützt.
L500 20 GB
E1000 60 GB
E1800 100 GB
C5600 100 GB

Wenn dem Gerät kein Festplattenspeicher zugeordnet ist, wird nur die letzte Sicherung in der lokalen Verwaltungskonsole gespeichert.

Sicherungen in der lokalen Verwaltungskonsole

Der in der lokalen Verwaltungskonsole für Sicherungsdateien zugewiesene Festplattenspeicher ist auf 10 GB und 20 Sicherungen beschränkt.

Wenn Sie eine lokale Verwaltungskonsole verwenden, verfügt jeder verbundene OT-Sensor über ein eigenes zusätzliches Sicherungsverzeichnis in der lokalen Verwaltungskonsole:

  • Eine einzelne Sensorsicherungsdatei ist auf maximal 40 GB beschränkt. Eine Datei, die diese Größe überschreitet, wird nicht an die lokale Verwaltungskonsole gesendet.
  • Der gesamte Festplattenspeicher, der allen Sensoren in der lokalen Verwaltungskonsole zur Sensorsicherung zur Verfügung steht, beträgt 100 GB.

Nächste Schritte

Weitere Informationen finden Sie unter